【WEB专用服务器的安全设置技巧】IIS的相关设置:
删除默认建立的站点的虚拟目录 , 停止默认web站点 , 删除对应的文件目录c:inetpub , 配置所有站点的公共设置 , 设置好相关的连接数限制 , 带宽设置以及性能设置等其他设置 。配置应用程序映射 , 删除所有不必要的应用程序扩展 , 只保留asp , php , cgi , pl , aspx应用程序扩展 。对于php和cgi , 推荐使用isapi方式解析 , 用exe解析对安全和性能有所影响 。用户程序调试设置发送文本错误信息给户 。对于数据库 , 尽量采用mdb后缀 , 不需要更改为asp , 可在IIS中设置一个mdb的扩展映射 , 将这个映射使用一个无关的dll文件如C:WINNTsystem32inetsrvssinc.dll来防止数据库被下载 。设置IIS的日志保存目录 , 调整日志记录信息 。设置为发送文本错误信息 。修改403错误页面 , 将其转向到其他页 , 可防止一些扫描器的探测 。另外为隐藏系统信息 , 防止telnet到80端口所泄露的系统版本信息可修改IIS的banner信息 , 可以使用winhex手工修改或者使用相关软件如banneredit修改 。
对于用户站点所在的目录 , 在此说明一下 , 用户的FTP根目录下对应三个文件佳 , wwwroot , database , logfiles , 分别存放站点文件 , 数据库备份和该站点的日志 。如果一旦发生入侵事件可对该用户站点所在目录设置具体的权限 , 图片所在的目录只给予列目录的权限 , 程序所在目录如果不需要生成文件(如生成html的程序)不给予写入权限 。因为是虚拟主机平常对脚本安全没办法做到细致入微的地步 , 更多的只能在方法用户从脚本提升权限:
ASP的安全设置:
设置过权限和服务之后 , 防范asp木马还需要做以下工作 , 在cmd窗口运行以下命令:
regsvr32/u C:WINNTSystem32wshom.ocx
del C:WINNTSystem32wshom.ocx
regsvr32/u C:WINNTsystem32shell32.dll
del C:WINNTsystem32shell32.dll
即可将WScript.Shell, Shell.application, WScript.Network组件卸载 , 可有效防止asp木马通过wscript或shell.application执行命令以及使用木马查看一些系统敏感信息 。另法:可取消以上文件的users用户的权限 , 重新启动IIS即可生效 。但不推荐该方法 。
另外 , 对于FSO由于用户程序需要使用 , 服务器上可以不注销掉该组件 , 这里只提一下FSO的防范 , 但并不需要在自动开通空间的虚拟商服务器上使用 , 只适合于手工开通的站点 。可以针对需要FSO和不需要FSO的站点设置两个组 , 对于需要FSO的用户组给予c:winntsystem32scrrun.dll文件的执行权限 , 不需要的不给权限 。重新启动服务器即可生效 。
对于这样的设置结合上面的权限设置 , 你会发现海阳木马已经在这里失去了作用!
PHP的安全设置:
默认安装的php需要有以下几个注意的问题:
C:winntphp.ini只给予users读权限即可 。在php.ini里需要做如下设置:
Safe_mode=on
register_globals = Off
allow_url_fopen = Off
display_errors = Off
magic_quotes_gpc = On [默认是on , 但需检查一遍]
推荐阅读
- Chrome浏览器无法访问更新服务器该怎么解决?
- 服务器防火墙怎么关闭linux Linux服务器上的网站如何关闭
- Linux两台服务器之间如何复制文件及免密码登录
- web安全主要分为几个方面 web安全主要分为几个方面
- 利用混合管理模型 改善邮箱服务器管理
- 如何评估你Exchange邮箱服务器的可用性
- 迅雷显示连接服务器失败,请检查网络是否正常怎么回事
- 安装 ISA 服务器管理
- itunes无法验证服务器s.mzstatic的身份怎么办
- 将 ISA 服务器计算机配置为 DHCP 服务器